Over de sidste år er mængden af IT-angreb steget, hvilket betyder, at vi bliver nødt til at have en plan for, hvordan vi håndterer sikkerhedsbrud. Derfor vil vi i denne blogpost gennemgå, hvordan i skal forholde jer til begrebet sikkerhedsbrud og hvordan i som organisation kan forberede jeres medarbejdere på sådanne brud.
Artiklen kort fortalt (TL;DR):
Her er en kort opsummering af, hvad du kan læse i denne artikel.
- Et sikkerhedsbrud er en hændelse, hvor systemer eller data er blevet kompromitteret
- Hvis et sikkerhedsbrud involverer persondata, skal man følge relevante myndigheders retningslinjer, så som Datatilsynets.
- Indberet altid sikkerhedsbrud
- Du skal vide, hvem du skal indberette sikkerhedsbrud til (f.eks. DPO eller IT-ansvarlig)
- Mange sikkerhedsbrud indrapporteres ikke grundet mangel på viden eller frygt for konsekevenser
- Skab en åben kultur, hvor folk tør sige det højt, når de oplever sikkerhedsbrud
Lad os springe ud i det.
Hvad er et sikkerhedsbrud?
Et sikkerhedsbrud er helt kort en hændelse, hvor der er vished om eller reel risiko for, at systemer eller data er blevet kompromitteret. Det er altså et brud, så snart vi ved, at nogen uvedkommende har haft adgang til data eller systemer. Så er det underordnet, hvor lidt data, der reelt er tale om.
Et sikkerhedsbrud er altså ikke kun de store skandaler, vi kender fra medierne, men også situationer hvor der f.eks. er forsvundet en mappe med vigtige papirer eller en e-mail, der er blevet sendt til den forkerte modtager. Faktisk er små fejl og “uheld” skyld i de fleste sikkerhedsbrud. Ofte rapporteres de fleste sikkerhedsbrud ikke disse mindre sikkerhedsbrud ikke, hvilket kan skabe en sårbarhed i jeres virksomhed, hvis I ikke opdager disse brud. Sikkerhedsbrud sker ofte også pga. en menneskelig fejl. I kan på Datatilsynets hjemmeside se statistik om anmeldte sikkerhedsbrud.
4 Vigtige Huskeregler
Det er selvfølgelig altid målet helt at undgå sikkerhedsbrud, men når uheldet er ude, er det vigtigt at have etableret en proces til at håndtere brud. Derfor har vi lavet disse 4 huskeregler, der har til formål at definere sikkerhedsbrud, og hvad der skal ske, når de spottes:
-
Et sikkerhedsbrud er en hændelse, hvor der er vished om eller reel risiko for, at systemer eller data er blevet kompromitteret.
-
Hvis sikkerhedsbruddet involverer persondata, stiller persondataforordningen krav om, at organisationen skal følge bestemte regler.
-
Du skal altid indberette et sikkerhedsbrud. Så kan hændelsen stoppes og sikkerheden forbedres.
-
Det er vigtigt, at du ved, hvem du skal rapportere et sikkerhedsbrud til. Det kan være en DPO (Data Protection Officer), den IT-ansvarlige eller lignende.
Udover disse 4 huskeregler er det også værd at dykke ned i de 15 tilsyn, som Datatilsynet udførte i efteråret 2020. Disse tilsyn giver indsigter i, hvad der kræves af dokumentationen af sikkerhedshændelser- og brud.
Huskereglerne er vigtige, da mange sikkerhedsbrud ikke rapporteres
I nogle situationer rapporteres sikkerhedsbrud ikke af den simple grund, at medarbejderen ikke ved, at det de står overfor, kvalificerer sig som et sikkerhedsbrud. Sådanne situationer, hvor det er viden, der er mangelvaren, kan løses gennem undervisning. Her er awareness-træning et åbenlyst bud. Hvis alle medarbejdere f.eks. kender ovenstående huskeregler, højnes chancen for at spotte et brud.
I andre situationer rapporteres et brud ikke af den simple grund, at medarbejderen er bange for de konsekvenser, det kan have. Disse situationer er sværere at undgå, da de kræver, at organisationen skaber en kultur, hvor ærlighed i sådanne situationer vægtes tungere end fejlen i sig selv. Det er vigtigt at kommunikere, at det er ok at begå fejl så længe, at man indrømmer dem. Der skal skabes en åben kultur, hvor folk tør rapportere sikkerhedsbrud uden frygt for personlige konsekvenser. Det er også en god måde at skabe organisatoriske sikkerhedsforanstaltninger på, ved at skabe et øget fokus på dette.
Til sidst ses også situationer, hvor en organisation administrativt vælger ikke at rapportere for ikke at undgå den dårlige omtale, som sådan et brud fører med sig. Udover, at man her risikerer endnu dårligere omtale, hvis det opdages, at man har forsøgt at feje et brud under måtten, er der med den nye persondatalov også mulighed for store bøder.
Konsekvenser ved et sikkerhedsbrud
Som vi lige har pointeret, dækker begrebet sikkerhedsbrud bredt, og derfor er det også naturligt, at et sikkerhedsbrud kan have mange forskellige konsekvenser. Et sikkerhedsbrud kan f.eks. godt være helt uden konsekvenser i situationer, hvor uvedkommende har haft adgang til data, men ikke har udnyttet det. Det har dog ændret sig efter GDPR, hvilket vi kommer ind på senere.
I situationer, hvor der umiddelbart ikke har været konsekvenser, er det stadig vigtigt at rapportere bruddet, da sikkerheden derved kan forbedres, og fremtidige sikkerhedsbrud kan undgås.
I mindre heldige situationer kan konsekvenser være alt fra dårligt omdømme til store finansielle tab. Når uheldet er ude og vi oplever et sikkerhedsbrud kan ordentlig håndtering hjælpe os med at minimere disse konsekvenser. Det er derfor altid essentielt, at medarbejdere tør at indberette sikkerhedsbrud, og at man får det rapporteret til de rigtige steder.
GDPR og Sikkerhedsbrud
Med den nye persondataforordning, GDPR, følger der også nye krav til hvordan sikkerhedsbrud håndteres. Hvis persondata er blevet kompromitteret i et sikkerhedsbrud, har man som organisation 72 timer til at rapportere det. Den dataansvarlige i organisation skal rapportere det til relevante myndigheder, hvilket i en dansk kontekst er datatilsynet. Hvis rapporteringen til tilsynet sker senere end dette, skal man som organisation kunne argumentere for, hvorfor man er forsinket. Udover dette skal det anmeldte sikkerhedsbrud, hvorvidt de kompromitterede data og oplysninger skaber en risiko for persondataens ejere Hvis dette er sagen, skal disse underrettes så hurtigt som muligt. Et eksempel på dette er hvis jeres brugeres passwords eller kontooplysninger er blevet kompromitteret. Her skal denne datas ejere have denne information så hurtigt som muligt, så de kan sikre sig selv.
Hvis man ikke når at rapportere et sikkerhedsbrud indenfor 72 timer og ikke kan argumentere tilfredsstillende for hvorfor, kan man ende med at få en bøde på op til 2% af virksomhedens årlige omsætning. At have en plan for hvordan man håndterer sikkerhedsbrud er altså vigtigere end nogensinde før.
Medarbejdernes viden og opmærksomhed er afgørende for jeres IT- sikkerhed. CyberPilot tilbyder awareness-træning, som træner medarbejderne i IT-sikkerhed og god databehandling. Igennem implementering af awareness-træning opnår man et højere sikkerhedsniveau og et godt grundlag til at sikre overholdelse af persondataforordningen.
Ofte stillede spørgsmål
Hvad er et sikkerhedsbrud?
Et sikkerhedsbrud i cybersikkerhed og IT-sikkerhed er en situation, hvor en person eller en gruppe af personer får adgang til eller manipulerer fortrolige eller følsomme oplysninger eller systemer uden tilladelse. Sikkerhedsbrud kan omfatte hacking, malware-angreb eller phishing. Et sikkerhedsbrud kan have alvorlige konsekvenser for sikkerheden og driftsstabiliteten af et system eller en organisation.
Hvornår er der tale om et sikkerhedsbrud?
Et sikkerhedsbrud opstår, når der er en uautoriseret adgang til eller videregivelse af følsomme oplysninger. Dette kan omfatte adgang til personoplysninger, finansielle oplysninger, fortrolige virksomhedsoplysninger og andre data. Et sikkerhedsbrud kan også ske, når der er en sårbarhed i et system, som kan udnyttes af en hacker eller anden uautoriseret person.
Hvor lang tid har en virksomhed til at anmelde et sikkerhedsbrud?
En virksomhed har 72 timer til at anmelde et sikkerhedsbrud til Datatilsynet efter opdagelsen, i henhold til GDPR (General Data Protection Regulation). Dette er for at sikre, at de nødvendige foranstaltninger kan træffes for at minimere skaden og beskytte de berørte datasubjekter.
